Sécurité open source : Google et OpenSSF veulent limiter les risques

Sécurité open source : Google et OpenSSF veulent limiter les risques

Sécurité open source : Google et OpenSSF veulent limiter les risques

Google a détaillé certains de ses efforts pour trouver des paquets de code malveillant introduits dans de grands projets de logiciels libres.

Le projet d’analyse de paquets est l’une des initiatives de la chaîne d’approvisionnement logicielle Open Source Security Foundation (OpenSSF) de la Linux Foundation. Cela devrait automatiser le processus d’identification des packages malveillants distribués sur les référentiels de packages populaires, tels que npm pour JavaScript et PyPl pour Python. Il effectue une analyse dynamique de tous les packages téléchargés sur les référentiels de logiciels gratuits populaires. Il vise à fournir des données sur les principaux types de packages malveillants et à informer les personnes travaillant sur la sécurité de la chaîne d’approvisionnement open source sur la meilleure façon de l’améliorer.

Liens essentiels

“Contrairement aux magasins d’applications mobiles qui peuvent analyser et rejeter les contributions malveillantes, les référentiels de packages disposent de ressources limitées pour examiner les milliers de mises à jour quotidiennes et doivent maintenir un modèle ouvert où tout le monde peut contribuer librement. Par conséquent, les packages malveillants tels que ua-parser-js et node -ipc sont régulièrement téléchargés sur des référentiels populaires malgré tous leurs efforts, avec des conséquences parfois dévastatrices pour les utilisateurs », explique Caleb Brown de l’équipe de sécurité des logiciels libres de Google, dans un article de blog.

“Malgré le rôle essentiel du logiciel libre dans tous les logiciels construits aujourd’hui, il est beaucoup trop facile pour les acteurs malveillants de faire circuler des packages malveillants qui attaquent les systèmes et les utilisateurs.”

Le projet d’analyse de paquets a identifié plus de 200 paquets malveillants en un mois, selon OpenSFF. Par exemple, il a trouvé des attaques de vol de jetons Discord sur des packages distribués sur PyPl et npm. Le package PyPl “discordcmd”, par exemple, attaque le client Windows de Discord via une porte dérobée téléchargée sur GitHub et installée sur l’application Discord pour voler des jetons Discord.

Les attaquants distribuent suffisamment souvent des packages malveillants sur npm et PyPl pour qu’OpenSSF, dont Google est membre, décide d’agir.

En mars, les chercheurs ont découvert des centaines de packages npm malveillants utilisés pour cibler les développeurs utilisant le cloud Azure de Microsoft, dont la plupart contenaient des attaques de typosquattage et de confusion de dépendance. Ces deux types d’attaques relèvent de l’ingénierie sociale : le typosquattage consiste à proposer sur la plateforme un package malveillant quasiment similaire avec un nom très similaire, afin de profiter de l’inattention de la victime. Les attaques de confusion de dépendance reposent sur des numéros de version anormalement élevés pour un paquet qui, en fait, peut ne pas avoir de version antérieure disponible.

Plus de peur que de mal

OpenSSF indique que la plupart des packages malveillants détectés étaient des attaques de confusion de dépendance et de typosquattage. Mais le projet estime que la plupart d’entre eux sont probablement le travail de chercheurs en sécurité participant à la prime aux bogues.

“Les packages trouvés contiennent généralement un script simple qui s’exécute lors de l’installation et contacte un serveur de commandes avec quelques détails sur la machine infectée. Ces packages sont très probablement le travail de chercheurs en sécurité à la recherche d’une prime de bogue, car la plupart d’entre eux n’exfiltrent aucune donnée significative. sauf le nom de la machine ou un nom d’utilisateur, et ils ne tentent pas de dissimuler leur comportement”, expliquent OpenSSF et Google.

OpenSSF note que n’importe lequel de ces packages “aurait pu avoir un effet bien plus dévastateur sur les victimes qui les ont installés, c’est pourquoi l’analyse des paquets fournit une contre-mesure à ces types d’attaques”.

La récente faille Log4j a mis en évidence les risques de sécurité généraux de la chaîne d’approvisionnement des logiciels open source. Le composant était intégré dans des dizaines de milliers d’applications d’entreprise et a provoqué un nettoyage massif et urgent de la part du gouvernement américain. La semaine dernière, Microsoft a également souligné le rôle des attaques de la chaîne d’approvisionnement des logiciels par des pirates informatiques soutenus par l’État russe dans les attaques militaires contre l’Ukraine.

En février dernier, Google et Microsoft ont injecté 5 millions de dollars dans le projet Alpha-Omega d’OpenSSF pour lutter contre la sécurité de la chaîne d’approvisionnement. Le flux Alpha travaille avec les mainteneurs des projets open source les plus critiques, tandis que le flux Omega sélectionnera au moins 10 000 programmes open source largement déployés pour une analyse de sécurité automatisée.

Source : “ZDNet.com”


#Sécurité #open #source #Google #OpenSSF #veulent #limiter #les #risques

Leave a Comment

Your email address will not be published.